动态污点分析ActiveX控件ActiveX控件以其跨平台、简单易用的特点被广泛应用于其他应用程序,例如大型统计软件、网上银行安全控件等。因此,其安全问题也越来越值得关注。目前针对ActiveX控件的漏洞挖掘的主要方法是模糊测试,但模糊测试的局限性会造成漏报。文章基于动态污点分析的ActiveX漏洞挖掘工具CMPTracer,分析可控数据在...
动态污点分析方法无需覆盖所有路径,只需要动态跟踪当前的JavaScript代码执行路径。通过动态污点分析法跟踪检测JavaScript代码执行,对于不受信任的数据做污染传播,跟踪JavaScript行为,并根据相关安全定义操作应对异常行为。本次研究提出一种无需依赖JavaScript引擎的动态污染分析算法,通过重写JavaScript代码,实现代码自跟踪、自检测,...
通过基于循环神经网络的动态污点分析技术识别对分支变量有显著影响的输入字节,并在该位置引导模糊测试变异生成测试样例,从而实现漏洞检测功能.测试结果表明,相比基于污点传播规则的动态污点分析工具libdft,nn Taint提高了10.9%~30.3%的执行效率;相比于libdft和Neutaint,nn Taint的路径覆盖率提高了1.1%~16%,可发现更多的...
污点分析是检测Android应用程序隐私数据泄露的有效手段,静态污点分析不直接运行程序,容易产生较高的误报率.本文提出以动态程序切片指导静态污点分析的Android应用隐私泄露检测方法.首先对Android应用程序进行静态污点分析,输出以污点源与污点汇聚点信息标注的潜在泄露数据流,再对源代码的中间表示进行静态插桩,通过实际场景中的...
文章基于动态污点分析的ActiveX漏洞挖掘工具CMPTracer,分析可控数据在ActiveX控件内部的处理流程,反馈出程序内部进行正确性检测的指令,进而指导测试数据的修改,得以测试程序深层的处理逻辑。经过试验比对发现,CMPTracer可以降低漏洞挖掘过程中的漏报率,能够发现普通模糊测试工具遗漏的安全漏洞。关键词:漏洞挖掘;动态污点分析;...
通过动态污点分析法跟踪检测JavaScript代码执行,对于不受信任的数据做污染传播,跟踪JavaScript行为,并根据相关安全定义操作应对异常行为。本次研究提出一种无需依赖JavaScript引擎的动态污染分析算法,通过重写JavaScript代码,实现代码自跟踪、自检测,以便实时跟踪检测敏感数据,有效保障Web安全。
2013年第12期■doi:103969/jissn1671—1122201312005动态污点分析技术在ActiveX控件漏洞挖掘上的应用(1.北京邮电大学计算机学院,崔化良,北京100876兰芸,崔宝江;2.华北科技学院计算机学院,河北三河101601)摘要:ActiveX控件以其跨平台、简单易用的特点被广泛应用于其他应用程序,例如大型统计软件、网上银行安全控件等。因此,其安...
目前针对ActiveX控件的漏洞挖掘的主要方法是模糊测试,但模糊测试的局限性会造成漏报.文章基于动态污点分析的ActiveX漏洞挖掘工具CMPTracer,分析可控数据在ActiveX控件内部的处理流程,反馈出程序内部进行正确性检测的指令,进而指导测试数据的修改,得以测试程序深层的处理逻辑.经过试验比对发现,CMPTracer可以降低漏洞挖掘过程中的...
动态污点分析技术在ActiveX控件漏派挖掘上的应用